Disable XML-RPC-API for WordPress

WordPress サイトをしばらく運営している人なら、XML-RPC がハッカーやボットにログインを妨害される可能性があるという恐ろしい話を聞いたことがあるでしょう。そう、それが私に WordPress の XML-RPC-API の無効化を試してみようと思った理由です。これは、多くの攻撃の対象となる XML-RPC インターフェイスを基本的にシャットダウンするシンプルなプラグインなので、サイトが攻撃の対象となることはありません。セットアップ後にサーバーの CPU 使用率が低下するのを見るまで、それがどれほど重要なのかわかりませんでした。さらに、もう 1 つのドアがしっかりとロックされていることがわかって安心しました。

良いもの

私にとって本当に気に入ったのは、セットアップがいかに簡単かということでした。複雑な設定や奇妙な権限は必要ありません。インストールしてアクティブ化するだけで、boom-XML-RPC アクセスが無効になります。 xmlrpc.php をただ闇雲にブロックしない点も気に入りました。必要に応じて IP をホワイトリストに登録できるため、XML-RPC を必要とするリモート アプリや正規のサービスを使用する場合に便利です。さらに、迷惑なだけでなく DDoS 攻撃に悪用される可能性のあるピンバック リンクもクリーンアップするため、素晴らしい副次的ボーナスとなります。

もう 1 つの優れた点は、XML-RPC スラグの名前を変更するか、JSON REST API を無効にするオプションです。私は個人的にはあまりいじりませんでしたが、サイトが外部の世界とどのように通信するかをもう少し制御するために、これらの追加機能があると便利です。 WordPress のバージョンを隠しますか?おせっかいなハッカーに推測させておくのは常に良いことです。

あまり良くないこと

ここで重要なのは、このプラグインは非常に必要最低限​​のものです。人によっては地味すぎると感じるかもしれない、派手なダッシュボードや定期的なリマインダーはありません。 Jetpack や特定のモバイル アプリなどで XML-RPC に大きく依存している場合、ホワイトリストをいじらない限り、ワークフローが中断される可能性があります。また、これを作成した人や更新頻度についての情報があまりなく、最初は立ち止まってしまいました。セキュリティプラグインは鋭さを保つ必要があり、そうしないと役に立たなくなる危険があるため、長期的に依存する前に透明性を高めたいと考えています。

最後に、無料試用版やプレミアム版はありませんが、正直なところ、機能を考えると、それで問題ありません。

結論

WordPress サイトを運営していて、XML-RPC 攻撃を簡単に阻止する簡単な方法が必要な場合は、「WordPress の XML-RPC-API を無効にする」を利用する価値があります。これは無料で簡単で、一度有効にすると、サーバーがもう少し落ち着くまで、おそらく忘れることができます。ただし、完全なセキュリティ スイートを置き換えたり、正当な理由で XML-RPC が必要な場合に役立つとは期待しないでください。ほとんどの人、特にリモート WordPress アプリを使用しない人にとって、このプラグインは問題なく機能し、手間をかけずに物事を少し安全に保ちます。